Internet Protection Cyber Security Virus Digital

Britse regering stelt IoT-regelgeving voor

by Redactie IoT Journaal1 mei 2019

De Britse regering heeft een aantal wetsvoorstellen gepresenteerd die consumenten meer bescherming moeten bieden bij het aanschaffen en het gebruiken van Internet of Things-spullen, zoals speelgoed en domotica-hardware. De regelgeving is nog niet door het parlement goedgekeurd. Eerst vindt er nog een ‘consultatie ronde’ plaats, waarbij het publiek en bedrijfsleven tot vijf juni dit jaar input kunnen geven op de plannen. Wie benieuwd is naar dat consultatiedocument, kan het het gratis downloaden via IoTJournaal  (18 pagina’s, 239 Kb, PDF).

Het initiatief voor de wetsontwerpen komt van het Britse ministerie van ‘Digital, Culture, Media & Sport‘. De verantwoordelijke minister, Margot James, stelt dat het past in het streven om van Groot-Brittannië een ‘mondiale leider op het gebied van online security’ te maken. De voorgestelde wetgeving heeft drie hoofdpunten:

Geen standaardwachtwoorden meer. Consumenten nemen doorgaans niet de moeite om die te veranderen, waardoor hackers vrij spel hebben.

Openheid van zaken bij beveiligingslekken. Daar hoort ook bij dat marktpartijen een meldpunt openen waardoor consumenten de mogelijkheid krijgen om dergelijke problemen te melden bij de fabrikant.

Regelmatige updates van ingebakken software met duidelijke communicatie over minimumtermijn voor die updates. Daar waar een softwareupdate niet mogelijk is, zou de fabrikant de mogelijkheid kunnen bieden om het bewuste apparaat te vervangen.

Britse richtlijnen sinds 2018

De veiligheid van (consumenten)IoT-spullen, heeft al enige tijd de onverdeelde aandacht van de Britse overheid. Zo kwam het in oktober 2018 met een ‘Code of Practice for Consumer IoT Security‘, waarin is beschreven aan welke beveiligingsvoorwaarden dergelijke spullen moeten voldoen. Producenten waren overigens niet gedwongen om zich aan de Code of Practice te houden, aangezien er geen wettelijke verplichting aan was gekoppeld. Desalniettemin hebben diverse marktpartijen zich in de afgelopen maanden marktpartijen achter de Code geschaard. Daaronder bevinden zich het Amerikaanse Hewlett-Packard Inc. de Japanse elektronicagigant Panasonic en het Britse energieconcern Centrica. Wie de Code of Practice for Consumer IoT Security eens op zijn gemak wil doorlezen, kan het overigens via IoTJournaal downloaden (24 pagina’s, 471 Kb, PDF).

Miljardeninvestering Britse overheid

De Britse regering heeft zich ook in financieel opzicht gecommitteerd aan cyber security. In 2016 maakt het bekend dat ‘t tot 2021 in totaal 1,9 miljard pond wil investeren in diverse initiatieven die de cyber security in het land op een hoger niveau moeten helpen. Speciaal aandachtspunt is The Internet of Things.

Eén van de zaken waar een deel van het overheidsbudget van 1,9 miljard pond naar toe gaat, is de oprichting van een Cyber Security Innovation Centre in de stad Cheltenham. Hierin gaan diverse Britse universiteiten en marktpartijen participeren. Doel van de CSIC is het plegen van onderzoek naar manieren om een veelheid aan apparaten (van pc’s tot IoT-hardware en smartphones) zo optimaal mogelijk te beveiligen.

Europese richtlijnen en wetgeving

ETSI, de Europese standaardisatieorganisatie op het gebied van internet en telecommunicatie, heeft op zijn beurt in februari 2019 een reeks – niet dwingende – technische security-richtlijnen geïntroduceerd voor partijen die zich bezighouden met IoT-oplossingen bedoeld voor consumenten. Hierbij gaat het niet alleen om leveranciers van hard- en software. Volgens de non-profit club moeten alle partijen in het IoT-ecosysteem (waaronder operators en aanbieders van cloud platformen) ervan kunnen profiteren. Het document is gratis via IoTJournaal te downloaden (16 pagina’s, 85 Kb, PDF).

De standaardisatieclub heeft in totaal vier hoofdthema’s voor de goede beveiliging van consumenten-IoT gedefinieerd. In het ETSI-document wordt onder meer gerept over softwareupdates en databescherming. Voor dat laatste heeft de vorig jaar doorgevoerde Europese General Data Protection Regulation (GDPR) model gestaan. De richtlijnen zijn niet dwingend: daar is weer aparte regelgeving van de Europese Commissie voor nodig. Om tot zijn security-richtlijnen te komen, heeft ETSI zich onder andere gebaseerd op soortgelijke aanbevelingen afkomstig uit de kokers van de GSMA (brancheclub voor partijen actief in de mobiele data- en telecommunicatie), de standaardisatieclub ISO en de Britse overheid. De Europese Commissie en het Europese parlement hebben op hun beurt in maart 2019 de Cybersecurity Act (CSA) het licht laten zien. Hierin wordt onder andere de goede beveiliging van IoT-oplossingen voor consumenten geborgd.

Initiatieven Nederlandse overheid

Staatssecretaris Mona Keijzer (ministerie van Economische Zaken en Klimaat) heeft in oktober 2018 aan de Tweede Kamer beloofd dat zij de Europese Commissie aan zou sporen om tot een keurmerk te komen voor Internet of Things-producten voor consumenten. De toezegging van staatssecretaris Keijzer staat in een brief ‘Consumentenagenda: houvast bij voortdurende verandering’ (te downloaden via IoTJournaal.nl, 9 pagina’s, 237 Kb, PDF). Zij schetst in het schrijven diverse manieren om tot een grotere consumentenbescherming te komen als het gaat om IoT-producten. Naast een ‘keurmerk’, ziet de bewindsvrouw ook een rol voor ‘samenwerkingsverbanden, zoals de Abuse Information Exchange‘. Dat laatste zou volgens haar ‘een rol kunnen spelen om gebruikers van besmette IoT-apparaten te bereiken zodat besmettingen kunnen worden opgeschoond’. In januari 2018 heeft de Cyber security Raad (CSR) al een officieel advies over IoT-security aan minister Grappenhaus (ministerie Justitie en Veiligheid) en staatssecretaris Keijzer overhandigd. In het document (‘Naar een veilig verbonden digitale samenleving; Advies inzake de cybersecurity van het Internet of Things’) wordt onder andere gepleit voor certificering en productaansprakelijkheid.